知识子域：安全风险管理

二、知识域：信息安全规划

阅读提示 本知识域包括信息安全风险管理及密码学、身份鉴别及访问控制等信息安全支撑技术相关知识。通过本知识域的学习，学员了解风险管理相关概念并掌握风险管理的工作方法，并且掌握密码学、身份鉴别、访问控制等信息安全基础技术，为信息系统安全体系规划及信息安全保障工作提供支撑。

2.1  知识子域：安全风险管理

风险管理的目的是确保不确定性不会使企业的业务目标发生变化。风险管理是风险的识别、评估和优化（IS0 31000定义为不确定性对目标的影响），然后协调和经济地应用资源以最小化监测和控制不良事件的可能陛及影响，最大限度地实现业务。

风险所涉及的范围很广，从企业风安全险到财务风险、人员风险、运营风险、IT风险等等， 可以说风险无处不在。不同领域产生的风险问题源于多种因素，包括金融市场的不确定

性，项目失败的威胁（在设计、开发、生产或维护生命周期的任何阶段）、法律责任、信用风险、事故、自然原因和灾难、物理攻击等诸多因素。在理想的风险管理中，通过采取对风险进行排序，按风险排序顺序处理的方法，首先处理损失（或影响）最大和概率最高的风险，按降序处理降低发生概率和降低损失的风险。在实践中，总体风险评估的过程是困难的，平衡资源用于降低那些风险发生率高并且损失较大的风险与风险高并且发生概率较低的风险。